取消普通域用户帐号加域权限

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

it外包通常来说,没有做什么特别的设定的话,都是手动加域,且使用的是管理员帐号,这种情况下是有风险的,容易被人记忆密码。所以,如果可以设置一个普通用户帐号,专门用来执行加域操作,就会降低此类风险。其实默认情况下,域每一个普通帐号都可以将10台电脑加入域内,这是一个很大的隐患。估计很多人都没有试过吧。加域分两种,一种是将新电脑加入域内,一种是将已经加入过域的电脑,因为故障无法登录域或手动退域,原计算机帐号仍在的情况下加入域建立连接。第二种情况又分上次加域使用的帐号和当前加域使用的帐号是否相同且权限是否一致。而退域,用任何帐号都可以。下面错误只在本文范畴内,不讨论其他情况。加域可能的报错A:就是第二种情况时,加域帐号(权限)不一致。it外包:超过普通用户将电脑加域的数值。取消普通域用户帐号将计算机加入域的权限域环境,默认普通用户默认能将10台计算机加入到域,如果在考虑到安全因素,需要更改默认设置。一般域内建立的用户默认都是DomainUsers组里的,下面将介绍如何取消普通域用户帐号将计算机加入域的权限方法/步骤1、在PDC上单击“开始”-“所有程序”-“管理工具”打开“ADSI编辑器”it外包、在打开的ADSI编辑器右击-“连接到”-点击确定。右键“DC=xxxDC=com单击“属性”it外包、找到“ms-DS-MachineAccountQuota”,将其数值由默认的10改成0it外包这样普通用户就不能将新电脑计算机加入域了。XP会提示“访问拒绝”,Win7会提示错误B(见文章开始部分)。修改完毕不需要重新启动。即刻生效。授权特定普通域用户将计算机加入域进全局组策略修改。it外包这种情况下,此帐号的确可以在MachineAccountQuota=0的情况下将新电脑加入域名。然而仍然有可能会报错A。(见文章开始部分)所以这时候我们需要使用委派的技巧。而普通的委派,网络上搜索到的,其实和组策略的方法是一致的,某种程度来说。在现实环境中仍然会报错A。(见文章开始部分)要解决这个问题,需要如下操作。进入控制台-AD用户和计算机,右击域-选择委派控制。it外包这样,这个帐号就可以作为专用的加域普通帐号用了。同样是即刻生效。查看委派在AD控制台里单击查看-高级功能打开之后在当前域上单击右键-属性-安全,里面可以看到你委派的用户it外包删除可以直接在上面删除。

1 / 10
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功